我的命,我自己操盤”,這是《竊聽風雲2》中的經典臺詞,
但現實生活中,我們可能連自己手機的麥克風都操盤不了。你遇到過這樣的情況嗎?剛說了想吃什麼,手機裡就蹦出了它的推薦;剛說了要買什麼,就出現了廣告。
可是,手機怎麼知道你剛剛說了什麼呢?一位讀者2018年11月的投訴引起了記者的注意,他懷疑外賣App在“偷聽”自己說話。
隨後,記者耗時3個多月的時間,通過模擬用戶使用場景,對安卓手機、蘋果手機、蘋果平板電腦上的餓了麼和美團外賣進行多輪測試。
從測試情況來看,在隨後數分鐘到數小時的時間裡,出現相關推薦的概率高達60%-70%。這個結果,有些驚人。
對此,餓了麼和美團回應:不存在“偷聽”!
3月14日晚,記者更新了最新iOS版美團外賣、餓了麼,它們都不再索取麥克風權限,不過安卓版裡的錄音權限依然存在。
餓了麼、美團回應:不存在“偷聽”
到底這種推薦店鋪的出現,是什麼原因呢?
餓了麼相關人士表示,所謂“監聽用戶日常對話並做信息分析”,是一種無端猜測,餓了麼既沒有做類似的產品設置,也不具備相關技術條件,餓了麼嚴格保護用戶隱私,任何必要的信息採集都會在取得用戶事先同意的前提下進行,在合法合規的範圍內使用。
美團人士則回應稱,有關“根據麥克風收錄的語音關鍵詞為點外賣的用戶做推薦”的行為並不存在,美團外賣只會在獲得用戶語音使用授權,且用戶主動發起美團外賣App內的語音輸入行為時,才會使用麥克風。此外,美團外賣僅會在用戶表達了明確需求信息、進行主動查詢後,才會進行相關推薦輸出。
專家測試
那麼,到底是巧合,還是確實這些外賣App在使用麥克風“偷聽”用戶?
3月13日,記者來到上海軟件測評中心對兩款App進行數據包的抓取測試。
在數據抓取過程中,由於餓了麼App使用了開發者設定的證書綁定技術,導致非開發人員無法使用Charles等抓包工具抓取餓了麼App的數據包。但從美團外賣App的抓包結果來看,在測試的一段時間內,抓包工具中抓取到了近400個與美團外賣相關且大小不一的數據包。這其中也包含在安靜的環境中美團外賣App產生的少量數據包。
“我們抓的這些包,就是打開App操作時,手機和服務器之間通信的各種數據,”上海軟件測評中心技術人員表示,如果App偷聽的情況真實存在,那麼就隱藏在這些數據包中。但難點在於如何在大量數據中分辨出哪些是客戶端與App之間正常的請求數據、哪些是App用於收集用戶語音信息的數據。
該技術人員還表示,即便是分辨出了數據包的信息,也不排除軟件開發者在數據包內用內部的加密方式對語音數據進行二次加密的可能。
是否“偷聽” 業內觀點不一
此外,在獲得了麥克風權限的前提下,一款App可以通過另一款App獲得信息嗎?國內知名白帽子公司KEEN GeekPwn實驗室宋宇昊認為,目前這一技術已經完全成熟,且有一條共享資源的傳輸鏈路。
“如果某App具有麥克風的訪問權限,理論上,此款聊天App可以監聽周圍環境的聲音。在此過程中,聊天App可以將語音輸入的代碼嵌在其App內部,用於將人類的語言轉換成文字,並上傳到服務端。服務端將這些文本進行處理後,與對應的用戶進行綁定。如果說兩個App之間有業務的合作,那麼他們將可以共享這項資源,”宋宇昊表示,“按現在的網速和機器性能,這波操作可以認為是實時完成的。”
騰訊手機管家安全專家楊啟波對此表示也認同,“有麥克風權限,不一定就會偷聽用戶說話。”楊啟波表示,儘管麥克風“偷聽”還很難確定,但出現如此巧合,極有可能是App在利用其他渠道獲取的大數據進行測算,“比如根據你當前所處的位置、經常光顧的餐廳、之前的搜索習慣等等數據來預測你的潛在需求。
經過3個多月的測試,對於外賣App是否在“偷聽”用戶說話,答案依然是未知的。
如果說是“巧合”,那麼巧合的次數未免太多了些。為了避免出現因搜索、輸入等非語音方式造成數據被讀取,後期測試的App都是重新安裝過的,甚至對某些設備做了刷機處理,而選擇測試的,也都是此前從來沒有點過,也沒有在手機中留下痕跡的菜系。因此,很難解釋為什麼會在測試中突然出現相關店鋪,而更難解釋的是,再度刷新後,其他店鋪依然沒變,只有這家店鋪消失了。
但如果不是“巧合”,從現有的技術測試和業內人士的回應來看,似乎通過麥克風“偷聽”是一件吃力不討好的事,企業不太可能做。
閱讀更多 時尚女神資訊 的文章
